Методика управления рисками финансово-хозяйственной деятельности в организации (М.Ф. Сафонова, К.В. Мовчан, "Международный бухгалтерский учет", N 29, август 2013 г.)

Методика управления рисками финансово-хозяйственной деятельности в организации

Риск присущ любой деятельности. Предпринимательство предполагает добровольное принятие на себя рисков в целях получения будущих выгод, поэтому справедливо утверждать, что управление рисками происходит в любой организации, а каким образом организован этот процесс: стихийно или осознанно, - вопрос корпоративной культуры. Более высокий уровень управления рисками обеспечивается созданием системы внутреннего контроля, которая в отличие, например, от руководителя и главного бухгалтера занимается контролем рисков организации, не сочетая эту деятельность с другой.

В соответствии с Федеральным законом от 06.12.2011 N 402-ФЗ "О бухгалтерском учете" для всех организаций вводится обязанность по ведению внутреннего контроля.

Одним из направлений внутреннего контроля фактов хозяйственной жизни является раскрытие в годовой бухгалтерской отчетности информации о рисках хозяйственной деятельности организации, на что указывает Минфин России в информации N ПЗ-9/2012 "О раскрытии информации о рисках хозяйственной деятельности организации в годовой бухгалтерской отчетности". Как указано в п. 13 данного документа, дополнительные показатели и пояснения о рисках подлежат раскрытию в бухгалтерской отчетности прежде всего организаций, публикующих эту отчетность.

Для создания эффективного процесса управления рисками организация должна иметь действенную систему внутреннего контроля, которая необходима для идентификации и оценки рисков. Без надежной системы контроля процесс планирования становится гораздо менее ценным и полезным для компании. Наличие устойчивой системы внутреннего контроля способствует совершенствованию следующих целей деятельности организации:

- надежность и полнота финансовой и операционной информации - надежная, полная и достоверная;

- эффективность и результативность деятельности;

- защищенность активов;

- соответствие законодательству и условиям контрактов.

Существует множество определений внутреннего контроля.

Контроль согласно Международному профессиональному стандарту внутреннего аудита 2130 в самом своем основном значении - это сила, которая ведет к тому, что то-то случается или не случается*(1). Именно благодаря контролю руководство может добиваться поставленных целей.

Согласно терминологии международного Института внутренних аудиторов, контроль - это "любые действия руководства, Совета и других сторон по управлению рисками и повышению вероятности достижения поставленных целей и выполнения задач"*(2). Исполнительное руководство осуществляет планирование, организацию и руководство действиями, обеспечивающими разумную уверенность в том, что цели и задачи организации будут выполнены. Понятие системы контроля означает интегрированный в единое целое набор элементов контроля и связанных с ним видов деятельности, которые используются организацией для достижения своих целей и задач".

Одним из самых удачных и актуальных на сегодняшний день является определение в соответствии с моделью COSO 1*(3):

"Внутренний контроль - процесс, осуществляемый советом директоров, руководством и другим персоналом организации, который направлен на обеспечение разумной уверенности в том, что будут достигнуты цели организации в следующих аспектах:

- эффективность (effectiveness) и результативность (efficiency) деятельности;

- достоверность финансовой отчетности;

- соответствие деятельности действующему законодательству"*(4).

Согласно Международному профессиональному стандарту внутреннего аудита 2120 (далее - Стандарт 2120) "внутренний аудит должен оценивать эффективность и способствовать совершенствованию процессов управления рисками"*(5) [10]. В области управления рисками необходимо понимать суть трех понятий:

1. Риском является возможность наступления какого-либо события (стечения обстоятельств), которое в случае реализации оказало бы негативное влияние на достижение компанией своих долгосрочных и краткосрочных целей. Риск измеряется путем оценки последствий (в денежном выражении) и вероятности наступления событий.

Классификацию рисков можно представить следующим образом:

- риски, связанные с основной деятельностью - это риски, относящиеся к основным производственным процессам. Например, для производственной компании - производство, закупки, продажи и прочие операции, для финансовой компании - привлечение, размещение средств и пр.;

- риски вспомогательных процессов - это риски, относящиеся к вспомогательным (поддерживающим) бизнес-процессам, таким как подготовка управленческой и бухгалтерской отчетности, управление персоналом, информационные технологии;

- риски внешней среды - риски, связанные с внешней средой, на которые компания не может оказывать непосредственного влияния;

- риски корпоративного управления.

2. Оценка рисков - это процесс систематизированного изучения и обобщения профессиональных суждений о вероятности наступления неблагоприятных условий и/или событий. Процесс оценки рисков должен включать средства формирования и обобщения профессиональных суждений по включению оценки риска в план-график проведения аудиторских проверок. Руководитель внутреннего аудита должен устанавливать приоритетность аудита для областей или направлений бизнеса с учетом уровня рисков.

В документе Комитета организаций-спонсоров Комиссии Тредвея (COSO) "Интегрированная концепция внутреннего контроля", кратко называемого "модель COSO", дается следующая характеристика процесса оценки риска: "Любая организация сталкивается с разнообразными рисками, порождаемыми внутренними и внешними источниками, которые должны оцениваться. В качестве предварительного условия для оценки рисков является установление целей, которые связаны между собой на различных уровнях и которые не являются внутренне противоречивыми. Оценка рисков включает выявление и анализ соответствующих рисков, внутренних и внешних, влияющих на достижение целей организации, что формирует основу для определения того, как управлять этими рисками. Поскольку общеэкономические, отраслевые, нормативные и операционные условия будут продолжать изменяться, то требуется создание механизмов, способных выявлять и управлять специфическими рисками, ассоциируемыми с такими изменениями"*(6).

3. Управление рисками - процесс выявления, оценки, управления и контроля за возможными событиями или ситуациями для обеспечения разумных гарантий достижения организацией своих целей.

Интуитивный подход к управлению рисками вместо систематического процесса ухудшает культуру управления ими - каждый работник боится обозначить все возможные или реально существующие проблемы. В некоторых случаях из-за страха перед руководящим персоналом многие негативные ситуации и их последствия не выявляются вовремя или они и вовсе скрываются, а это часто приводит к увеличению отрицательных последствий в ходе деятельности организации.

Для обеспечения эффективного управления рисками организации на всех уровнях управления и во всех сферах деятельности необходимо соблюдать следующие принципы:

- каждый сотрудник и руководитель понимает важность управления рисками и руководствуется в своей каждодневной деятельности процедурами управления рисками, принятыми в организации;

- управление рисками осуществляется в пределах риск-аппетита организации, утверждаемого на уровне ее руководства. Риск-аппетит - это приемлемый уровень риска для руководства организации;

- риски, уровень которых может превысить риск-аппетит, подлежат своевременному выявлению, а информация о них подлежит своевременной передаче руководителю организации;

- организация может сознательно принимать бизнес-риски, если ожидается, что связанные с ними выгоды увеличат ее корпоративную стоимость, при условии обеспечения надлежащей оценки потенциальных выгод и убытков, возникающих вследствие принятия этих рисков, и надлежащего мониторинга данных рисков со стороны руководства;

- формируется общее понимание всеми сотрудниками основных принципов и подходов к управлению рисками;

- наращиваются знания и навыки персонала в области управления рисками, в том числе посредством обучения сотрудников применению стандартов, методологии и инструментария системы управления рисками;

- на сотрудников и руководителей возлагаются обязанности и ответственность за эффективное управление всеми значительными рисками, присущими тем процессам, за которые они отвечают. Ответственность за соблюдение процедур по управлению рисками является обязательной частью личных целей сотрудников и руководства организации.

Все это свидетельствует о том, что управление рисками следует рассматривать не как единовременное действие, а как серию целенаправленных действий, которые образуют единый механизм управления рисками, интегрированный в бизнес-процесс организации.

На первоначальном этапе управления рисками рекомендуется определять риск-аппетит компании. Предлагаемый перечень вопросов для определения риск-аппетита позволит своевременно их выявлять:

   /-------------\   /---------\   /------\   /------------\   /----------\

   |  Постановка |   |Выявление|   |Оценка|   |Реагирование|   |Мониторинг|

/-|целей и задач|--|  рисков |-|рисков|--|  на риски  |--|  рисков  |-\

|  \-------------/   \---------/   \------/   \------------/   \----------/ |

|                                                                      |

|         |               |            |             |               |      |

|                                                                      |

|  /-------------\   /---------\   /-------\  /-------------\  /----------\ |

|  |  Стратегия, |   | Паспорт |   |Паспорт|  |Паспорт риска|  |Паспорт   | |

|  | бизнес-план |   | риска   |   |риска, |  |(план        |  |риска     | |

|  |             |   |(описание|   |карта  |  |мероприятий  |  |(оценка   | |

|  |             |   | риска)  |   |рисков |  |по управлению|  |эффектив- | |

|  |             |   |         |   |       |  |риском)      |  |ности).   | |

|  |             |   |         |   |       |  |             |  |Ежеквар-  | |

|  |             |   |         |   |       |  |             |  |тальная   | |

|  |             |   |         |   |       |  |             |  |отчетность| |

|  \-------------/   \---------/   \-------/  \-------------/  \----------/ |

|                                                                           |

|                                                                           |

|       /---------\         /-------------\         /------------------\    |

|       |Коррекция|         |Анализ причин|         |Реагирование      |    |

\-------|процессов|--------|реализации   |--------|на реализовавшийся|---/

        |         |         |риска        |         |риск              |

        \---------/         \-------------/         \------------------/

Рис. 1. Последовательный процесс управления рисками

1. За какую величину потерь Совет директоров призовет топ-менеджмент "к ответу"?

2. Какая величина потерь может существенно повлиять на операционные процессы компании?

3. Какая величина потерь не окажет на компанию значительного влияния?

Последовательность процесса управления рисками представлена на рис. 1.

Способы выявления риска включают:

- интервью;

- "круглые столы" для топ-менеджмента, среднего менеджмента (фокус-группы);

- анализ бизнес-процессов;

- анкетирование.

Типовая форма отчетного документа (Паспорт риска), которая заполняется для каждого идентифицированного риска, представлена на рис. 2.

Паспорт риска
Дата последнего обновления паспорта риска
1. Описание риска

2. Оценка присущего риска


3. План мероприятий по управлению риском
Существующие контрольные процедуры

Необходимые дополнительные контрольные процедуры

План мероприятий по управлению риском

4. План чрезвычайных мероприятий

5. Оценка планируемого остаточного риска

6. Оценка фактического остаточного риска

Ответственный

Рис. 2. Паспорт риска

Исходные данные для оценки степени воздействия рисков на бизнес-процессы организации и их уровня формируются на основе субъективных оценок вероятности возникновения негативных ситуаций и величины потерь в случае их наступления.

Одной из важных целей управления рисками является ранжирование рисков - распределение ресурсов для реагирования на наиболее существенные риски. В этом случае используют понятие значимости риска, которую определяют следующим образом:

Ожидаемая значимость риска = Величина влияния возможных последствий х Вероятность наступления события.

Показатель величины влияния установленного риска на производственный цикл организации позволяет определить, какие финансовые последствия ожидают организацию в случае реализации обнаруженного риска. Уровень влияния оценивается в денежном выражении. В табл. 1 приведены возможные критерии для наиболее удобной оценки влияния установленного риска.

Определение величины влияния риска

Таблица 1

Уровень влияния	Оценка в баллах	Критерий оценки
Высокое	3	Финансовые последствия превышают риск-аппетит компании. Существенное влияние на стратегическое развитие и деятельность компании. Потеря актива (контроля над активом). Влияние на репутацию
Среднее	2	Финансовые последствия в пределах риск-аппетита компании. Умеренное влияние на стратегическое развитие и деятельность компании. Частичная потеря актива (или контроля над активом). Влияние на репутацию отдельного бизнеса
Низкое	1	Финансовые последствия незначительны. Слабое влияние на стратегическое развитие и деятельность компании

Показатель вероятности наступления установленного риска позволяет определить, с какой долей вероятности возможно наступление обнаруженного события. В табл. 2 представлены три уровня вероятности и, соответственно, приблизительный временной период, в который осуществится конкретный риск.

Определение вероятности наступления риска

Таблица 2

Уровень вероятности	Оценка в баллах	Критерий оценки
Высокая (вероятно)	3	Риск может с большей долей вероятности реализоваться в ближайший год. Вероятность наступления события больше, чем 50%. Аналогичное событие уже произошло недавно
Средняя (возможно)	2	Наступление события вероятно в течение 3 лет. Вероятность наступления меньше 50%, но больше 20%. Существует история наступления события
Низкая (отдаленно)	1	Практически отсутствует вероятность наступления события в течение 3 лет. Вероятность наступления меньше, чем 20%. Событие не наступало

Также не менее важным параметром является скорость реализации риска, т.е. необходимо понимать, насколько быстро реализуются потенциальные последствия события и степень отражения на деятельности организации в случае его наступления (табл. 3).

Определение скорости реализации риска

Таблица 3

Оценка скорости реализации риска	Оценка в баллах	Описание
Высокая	3	Событие происходит внезапно, быстро и его эффект быстро отражается на деятельности компании (менее 1 недели)
Средняя	2	Событие происходит быстро (менее года), но его эффект растянут на протяжении некоторого времени (более 1 недели). Существует ограниченная возможность уменьшения потерь, связанных с последствием
Низкая	1	Событие происходит в течение продолжительного периода времени (1 год и более), есть время на реакцию и воздействие на риск

Помимо паспорта риска, для наиболее эффективного анализа имеющихся рисков составляется карта производственных рисков, которая позволяет автоматически ранжировать идентифицированные риски по степени воздействия и уровню, чтобы определить очередность их обработки (рис. 3).

                                    /- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -\

  /------------------------------\ | /-----------------------------\   /-----------------------------\

 | | Описание риска|Бизнес-процесс|   |Описание риска|Бизнес-процесс|   |Описание риска|Бизнес-процесс| |

В| |---------------+--------------| | |--------------+--------------|   |--------------+--------------|

е| |Авария системы | Производство |   |Мошенничество |Корпоративное |   |   Остановка  | Производство | |

л| |энергоснабжения|              | | |сотрудников и | управление   |   | производства |              |

и| |               |              |   |руководителей |              |   | из-за потери |              | |

ч| |               |              | | |              |              |   |   лицензии   |              |

и| |---------------+--------------|   |--------------+--------------|   |--------------+--------------| |

н| |               |              | | |              |              |   |    Утрата    |Корпоративное |

а| |               |              |   |              |              |   |  арендуемых  |  управление  | |

 | |               |              | | |              |              |   |   площадей   |              |

 | \------------------------------/   \-----------------------------/   \-----------------------------/ |

в|                                    - - - - - - - - - - - - - - - - -                                 |

л| /------------------------------\   /-----------------------------\   /-----------------------------\

и| | Описание риска|Бизнес-процесс|   |Описание риска|Бизнес-процесс| | |Описание риска|Бизнес-процесс| |

я| |---------------+--------------|   |--------------+--------------|   |--------------+--------------|

н| |Неблагоприятные|  Выращивание |   | Невыполнение |     Сбыт     | | |Привлечение  к|   Экология   | |

и| |    погодные   |   озимой     |   |     плана    |              |   |ответственнос-|              |

я| |    условия    |   пшеницы    |   |    продаж    |              | | |ти  за загряз-|              | |

 | |               |              |   |              |              |   |нение  окружа-|              |

 | |               |              |   |              |              | | |ющей среды    |              | |

 | \------------------------------/   \-----------------------------/   \-----------------------------/

 |                                                                    \- - - - - - - - - - - - - - - - -/

 | /------------------------------\   /-----------------------------\   /-----------------------------\

 | | Описание риска|Бизнес-процесс|   |Описание риска|Бизнес-процесс|   |Описание риска|Бизнес-процесс|

 | |---------------+--------------|   |--------------+--------------|   |--------------+--------------|

 | |  Предъявление |  Гарантийное |   |Неблагоприят- |  Управление  |   |Потеря  ключе-|  Управление  |

 | | претензий  за | обслуживание |   |ные изменения |  финансами   |   |вых  сотрудни-|  персоналом  |

 | |  ненадлежащее |              |   |валютных  кур-|              |   |ков           |              |

 | |   исполнение  |              |   |сов           |              |   |              |              |

 | |  гарантийных  |              |   |              |              |   |              |              |

 | | обязательств  |              |   |              |              |   |              |              |

 | \------------------------------/   \-----------------------------/   \-----------------------------/

  -----------------------------------------------------------------------------------------------------

                                  Вероятность наступления

Примечание. Пунктирной линией выделены ключевые риски.

Рис. 3. Карта производственных рисков

После того как риски идентифицированы и оценены, необходимо сформировать подходы к их обработке. В настоящее время в практике управления рисками существуют четыре способа реагирования на риск:

- принятие (создание системы резервов и/или планирование действий на случай непредвиденных обстоятельств);

- избежание (полное устранение определенной угрозы или источника риска через исключение потенциальной возможности негативной ситуации);

- снижение (уменьшение вероятности убытков и/или снижение тяжести потерь);

- передача (страхование и/или передача рисков контрактными условиями).

Стратегия обработки рисков, таким образом, состоит из основного способа и составляющих его специальных мероприятий. Сначала определяется способ обработки рисков, затем осуществляются превентивные мероприятия в рамках данного способа. Это позволяет избежать распространенной ошибки, когда выбор варианта обработки рисков осуществляется без предварительной оценки всех четырех основных способов. В случае наличия недопустимого риска или когда не позволяют складывающиеся обстоятельства, может быть полезным разработать несколько дополнительных стратегий обработки рисков. В этом случае процесс выбора вариантов мероприятий по обработке рисков необходимо проводить повторно. Причем дополнительные мероприятия должны отличаться от существующих контрольных процедур.

В обсуждении предмета управления рисками организации часто используют термин "корпоративное управление рисками", который означает процесс, в котором участвуют совет директоров, исполнительное руководство и другие сотрудники, применяемый при определении стратегии компании, предназначенный для выявления потенциальных событий, влияющих на компанию, и для управления рисками с учетом величины риск-аппетита, для получения разумной уверенности в том, что цели и задачи организации будут достигнуты.

Ответственность за оценку потенциальных рисков организации ложится на плечи ее руководства. Это непрерывный и постоянный процесс, поэтому к числу обязанностей руководства в данной области относится также проверка правильности текущих оценок рисков и внесение необходимых изменений с целью снижения потенциальных рисков, которые могут препятствовать выполнению организацией запланированных целей. Совет директоров и комитет по аудиту несут ответственность за осуществление надзора/контроля, определяя, существуют ли необходимые процессы управления рисками и являются ли эти процессы адекватными и эффективными.

Внутренние аудиторы оказывают помощь руководству, совету директоров и/или комитету по аудиту в оценке, тестировании, формировании отчетности и/или разработке рекомендаций по повышению адекватности и эффективности процессов управлении рисков.

Если внутренние аудиторы обнаруживают факторы риска во время любой проверки, они должны определить степень подверженности риску, даже если это и не являлось целью текущей проверки.

Важно помнить, что роль подразделения внутреннего аудита в процессе управления рисками не является раз и навсегда зафиксированной и (скорее всего) будет меняться с течением времени. В соответствии с Практическим указанием 2120-1 "Оценка достаточности процесса управления рисками" роль внутреннего аудита в процессе управления рисками организации может состоять в следующем:

- отсутствие роли;

- аудит процессов управления рисками как часть годового плана проведения аудиторских проверок;

- активная постоянная поддержка и вовлеченность в процессы управления рисками (например участие в работе надзорных комитетов, процессах мониторинга, формировании отчетности о состоянии процесса);

- управление и координация процессов управления рисками. В данном случае внутренний аудитор принимает на себя ответственность за фактический риск, он несет ответственность только за процесс управления*(7).

Решение о степени участия подразделения внутреннего аудита в процессе управления рисками принимается высшим руководством и советом директоров.

Согласно Стандарту 2120 (подразд. А1) "внутренний аудит должен оценивать степень подверженности риску, относящемуся к корпоративному управлению, операционной деятельности организации и ее информационным системам, в отношении:

- достоверности и полноты информации о финансово-хозяйственной деятельности;

- эффективности и результативности операций и программ;

- сохранности активов;

- соответствия требованиям законов, нормативных актов, внутренних политик и процедур, и договорных обязательств"*(8).

У каждой организации есть свои особенности, в частности собственная методология осуществления процесса управления рисками. Внутренний аудитор должен убедиться в том, что ключевые группы организации, включая совет директоров и комитет по аудиту, одинаково понимают эту методологию. Для того чтобы сделать заключение об адекватности процессов управления рисками, внутренние аудиторы должны убедиться в достижении пяти ключевых целей процессов управления рисками, а именно:

- риски, которые могут появиться в процессе реализации бизнес-стратегии и осуществлении деятельности организации, выявляются и оцениваются;

- высшее руководство и совет директоров определили приемлемый уровень риска для организации (риск-аппетит);

- выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках риск-аппетита организации;

- риски регулярно переоцениваются;

- результаты оценки рисков периодически направляются исполнительному руководству и совету директоров.

Служба внутреннего аудита должна оценить степень выполнения данных целей, чтобы сформировать и выразить мнение об адекватности процессов управления рисками в организации. Эта задача должна выполняться службой внутреннего аудита не только в ходе проведения отдельных проверок; напротив, она должна выполняться в ходе выполнения всех проверок. Аудиторам необходимо постоянно осуществлять поиск признаков существования проблем или причин для беспокойства в сфере управления рисками.

Для этих целей рекомендуется использовать следующие аудиторские процедуры:

- исследование и анализ необходимых справочных материалов и базовой информации по методологии управления рисками, которые рассматриваются в качестве основы при определении адекватности имеющихся в организации процессов управления рисками и их соответствия образцам передовой практики в конкретном виде экономической деятельности;

- исследование и анализ текущих разработок, тенденций, информации по виду экономической деятельности, касающейся организации, других уместных источников информации для определения рисков и оценки их возможных последствий на деятельность организации, а также соответствующих процедур, используемых для реагирования на риски, их мониторинга и периодической актуализации их оценки;

- анализ корпоративной политики, протоколов заседаний совета директоров и комитета по аудиту для понимания бизнес-стратегии организации, философии и методологии управления рисками, риск-аппетита и условий принятия рисков;

- анализ предыдущих отчетов об оценке рисков, подготовленных руководством, внутренними и внешними аудиторами или из других источников;

- проведение интервью с линейными и высшими руководителями для определения целей бизнес-подразделений, соответствующих рисков и используемых руководством методов снижения рисков и процедур мониторинга системы внутреннего контроля;

- обработка информации в целях независимой оценки эффективности процедур снижения рисков, мониторинга и информирования о рисках и соответствующих контрольных действиях;

- оценка адекватности системы подотчетности по вопросам мониторинга рисков;

- оценка адекватности и своевременности отчетности о результатах управления рисками;

- проверка полноты анализа рисков, проведенного руководством организации, и действий, предпринятых для устранения недостатков, выявленных в процессе управления рисками, и предложение улучшений;

- определение эффективности осуществляемых руководством процессов самооценки путем осуществления наблюдений, прямого тестирования контрольных процедур и процедур мониторинга, проверки надежности информации, используемой в процессах мониторинга, и применения других соответствующих методов;

- проверка других, связанных с рисками проблем, которые могут указывать на недостатки системы управления рисками, и при необходимости обсуждение их с высшим руководством, комитетом по аудиту и советом директоров. Если, по мнению аудитора, принятый руководством уровень риска не соответствует стратегии и политике организации в области управления рисками, или такой риск неприемлем для организации, ему при дальнейших действиях следует руководствоваться Международным профессиональным стандартом внутреннего аудита 2600 "Рассмотрение риска, принятого высшим исполнительным руководством" и соответствующими указаниями.

Безусловно, оценку рисков не всегда можно произвести по конкретной формуле или измерить количественно. Успешная оценка рисков очень часто основывается на профессиональных суждениях и опыте внутренних аудиторов и руководителя внутреннего аудита. Процессы управления рисками в разных организациях могут существенно различаться в зависимости от вида бизнеса, масштабов и сложности структуры организации и могут быть:

- формальными или неформальными;

- количественными или субъективными;

- внедренными в бизнес-единицах или централизованными на корпоративном уровне.

В любом случае организация выстраивает процессы в соответствии со своей культурой, стилем управления и целями деятельности. Например, использование организацией деривативов или других сложных инструментов рынков капитала может потребовать использования количественных методов управления рисками. Менее крупные организации могут создавать неформальный комитет по рискам для обсуждения профиля рисков организации и инициирования регулярных корректирующих действий, а внутренний аудитор уже определяет, является ли выбранная организацией методология достаточно полной и соответствующей деятельности организации.

Список литературы

1. Бурцев В.В. Внутренний аудит: оценка эффективности // Вестник машиностроения. 2006. N 9. С. 78-81.

2. Буянов В.П. Рискология (управление рисками): учеб. пособие / В.П. Буянов, К.А. Кирсанов, Л.М. Михайлов. 2-е изд., испр. и доп. М.: Экзамен, 2007. 384 с.

3. Головач А.М. Внутренний контроль и внутренний аудит в организации: разграничение компетенции // Аудиторские ведомости. 2007. N 1.

4. Зинкевич В.А. Карта рисков - эффективный инструмент управления / В.А. Зинкевич, В.Н. Черкашенко. URL: http://franklin-grant.ru.

5. Зырянова Т.В. Методические подходы к внедрению внутреннего аудита в систему управления предприятием / Т.В. Зырянова, О.Е. Терехова // Экономический анализ: теория и практика. 2007. N 2.

6. Кириченко М. Системы внутреннего контроля. Организационные аспекты построения // Финансовая газета. 2013. N 11. С. 8-9.

7. Коновалова Н.В. Аудиторский риск: вопросы методики создания внутрифирменного стандарта // Аудит и финансовый анализ. 2011. N 2. С. 196-208.

8. Кочинев Ю. Оценка аудиторского риска / Ю. Кочинев, С. Каменецкий // Аудит и налогообложение. 2010. N 6. URL: http://www.lawmix.ru/.

9. Международные основы профессиональной практики внутреннего аудита (Практические указания). 2011.

10. Международные профессиональные стандарты внутреннего аудита (в редакции с 01.01.2013).

11. Официальный сайт Института внутренних аудиторов. URL: http://www.iia-ru.ru/.

12. Панкратова Л.А. Внутренний аудит в управлении организацией // Аудитор. 2012. N 6.

13. URL: http://www.coso.org/IC-IntegratedFramework-summary.htm.

М.Ф. Сафонова,

кандидат экономических наук,

профессор кафедры аудита

К.В. Мовчан,

аспирантка кафедры аудита,

Кубанский государственный аграрный университет

"Международный бухгалтерский учет", N 29, август 2013 г.

-------------------------------------------------------------------------

*(1) Международные профессиональные стандарты внутреннего аудита (в редакции с 01.01.2013).

*(2) Официальный сайт Института внутренних аудиторов. URL: http://www.iia-ru.ru/.

*(3) COSO (The Committee of Sponsoring Organizations of theTreadway Commission) - Комитет организаций-спонсоров Комиссии Тредвея.

*(4) Документ COSO (1992 г.). В 2004 г. COSO выпустил более общий документ "Управление рисками организации. Интегрированный подход" (COSO ERM). Документ 1992 г. является составной частью документа 2004 г. и может одновременно использоваться как самостоятельный документ. URL: http://www.coso.org/IC-IntegratedFramework-summary.htm.

*(5) Международные профессиональные стандарты внутреннего аудита (в редакции с 01.01.2013).

*(6) Официальный сайт Института внутренних аудиторов. URL: http://www.iia-ru.ru/.

*(7) Международные основы профессиональной практики внутреннего аудита (Практические указания). 2011.

*(8) Международные профессиональные стандарты внутреннего аудита (в редакции с 01.01.2013).

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете подать заявку на получение полного доступа к системе бесплатно на 3 дня.

Получить бесплатный доступ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.